Datenschutz FAQ

Last change on 2023-06-12 • Created on 2020-03-18 • ID: GE-82054

Einführung

Datenschutz ist uns ein großes Anliegen hier bei Hetzner. Dieser Artikel bietet Antworten auf häufige Fragen zu diesem Thema.

Webhosting, Managed Server

Welche Daten werden in den Logfiles gespeichert

Logfiles speichern unter anderem die IP-Adresse, den verwendeten Browser, Uhrzeit und Datum und das genutzte System eines Seitenbesuchers. Bei uns werden nur anonymisierte IP-Adressen von Besuchern der Website gespeichert. Auf Webserver-Ebene erfolgt dies dadurch, dass im Logfile standardmäßig statt der tatsächlichen IP-Adresse des Besuchers z.B. <123.123.123.123> eine IP-Adresse <123.123.123.XXX> gespeichert wird, wobei XXX ein Zufallswert zwischen 1 und 254 ist. Die Herstellung eines Personenbezuges ist nicht mehr möglich.

Wie lange werden Logfiles gespeichert

  • Mailserverlog: Vorhaltezeit sind 7 Tage
  • Apachelog: Speicherdauer kann der Kunde in der konsoleH selbst konfigurieren. Im Menüpunkt Einstellungen > Accountwartung können Sie den Löschzeitpunkt festlegen.
  • Backups: Werden 14 Tage in verschlüsselter Form aufbewahrt

Welche Daten werden erfasst bei AWStats und Report Magic

Bei den beiden Statistikprogrammen werden die Logfiles ausgewertet. Die Statistiken werden mit bereits anonymisierten Daten erstellt. Ein Personenbezug ist nicht herstellbar. Die beiden Programme laufen auf Ihrem eigenen Server/Webaccount.

Folgende Daten werden ausgewertet:

  • der verwendete Browsertyp und die Browserversion, (sofern vom Benutzer übermittelt!),
  • das Betriebssystem,
  • Datum und Uhrzeit der Serveranfrage,
  • die Anzahl der Besuche,
  • die Verweildauer auf der Website,
  • die vorher besuchte Website, (sofern vom Benutzer übermittelt!),
  • die IP-Adresse der Nutzer wird anonymisiert, bevor sie gespeichert wird.

Auftragsverarbeitung

Wann liegt eine Auftragsverarbeitung vor?

Sobald Sie oder Ihr Kunde personenbezogene Daten auf einem Server bei uns speichern, handelt es sich um eine Auftragsverarbeitung nach Art. 28 der DS-GVO.

Was sind personenbezogene Daten?

Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DS-GVO als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen definiert. Beispiele für personenbezogene Daten sind Name einer Person, Anschrift, Telefonnummer, E-Mail-Adresse, Geschlecht, Kontonummer, etc. Aber auch die IP-Adresse gehört zu den personenbezogenen Daten.

Wo finde ich den Vertrag zur Auftragsverarbeitung (AV-Vertrag)?

Für unsere Produkte Webhosting, Managed Server, Storage Share

Den Vertrag zur Auftragsverarbeitung finden sie in der konsoleH. Bitte melden Sie sich dort mit Ihrem Kundeaccount an. Unter dem Menüpunkt Verwaltung finden Sie auf der linken Seite den Menüpunkt Stammdaten. Darin enthalten ist der Unterpunkt Auftragsverarbeitung.

Oder folgen sie dem direkten Link hier.

Für unsere Produkte Dedicated Server, Hetzner Cloud Server, Colocation Server, Server aus der Serverbörse, vServer, Storage Box.

Loggen sie sich hier mit ihrem Account ein. Wenn Sie noch keinen Account bei uns haben und sich den Vertrag vorab ansehen möchten, senden Sie bitte eine E-Mail an data-protection@hetzner.com.

Wie erhalte ich den Vertrag zur Auftragsverarbeitung (AV-Vertrag)?

Im oberen Teil des Formulars sehen Sie zunächst die bei uns hinterlegten Angaben zu Ihrer Firma/Person. Hier werden auch Ihre bereits erstellten Verträge angezeigt.

Im Abschnitt Art der Daten können Sie die Datenkategorien angeben, für die Daten, die bei uns gespeichert werden. Sie können entweder aus den vorgegebenen Datenarten auswählen oder neue Datenarten hinzufügen.

Beim Kreis der Betroffenen verhält es sich ähnlich. Sie können entweder aus den vorgegebenen Betroffenen auswählen oder neue Betroffene hinzufügen.

Falls nach Abschluss des Vertrages noch Datenkategorien oder Betroffene hinzukommen, können Sie den bereits bestehenden Vertrag löschen und einen neuen Vertrag anlegen oder Sie können zusätzlich zum bestehenden Vertrag noch einen neuen Vertrag anlegen. Insgesamt sind gleichzeitig bis zu sechs Verträge möglich. Falls Sie darüber hinaus noch mehr Verträge benötigen, wenden Sie sich bitte an <data-protection@hetzner.com>.

In dem folgenden Textfeld mit der Bezeichnung Auftrag gemäß Art. 28 DS-GVO sehen Sie den eigentlichen Inhalt des AV-Vertrages. Sie können diesen zur Voransicht herunterladen.

Danach folgt ein Textfeld mit der Bezeichnung Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage. Hier finden Sie unsere Technischen und organisatorischen Maßnahmen zur IT-Sicherheit. Diese stehen ebenfalls zum Herunterladen und zur Voransicht zur Verfügung.

Nachdem Sie der Vereinbarung zugestimmt haben, wird der Vertrag erstellt. Der Vertrag setzt sich zusammen aus Ihren persönlichen Kenndaten, dem eigentlichen Vertragsinhalt, der Anlage 1 mit der Art der Daten und dem Kreis der Betroffenen und der Anlage 2 mit den Technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO und Anlage.

Der Vertrag ist von uns vorunterzeichnet und muss von Ihnen nur noch ausgedruckt, unterzeichnet und bei Ihren Datenschutzdokumenten abgelegt werden.

Bei Fragen wenden Sie sich bitte an data-protection@hetzner.com

Muss ich den ausgedruckten Vertrag unterzeichnen und an Hetzner Online GmbH schicken?

Nein, das ist nicht nötig. Wir erstellen gleichzeitig ein Exemplar des Vertrages, das wir bei uns ablegen. Ihre Unterschrift benötigen wir nicht.

Informationen zum Datenschutz und zu unseren Standorten in den USA

Die Hetzner US LLC stellt, als Tochterunternehmen der Hetzner Online GmbH, Rechenzentrumsdienstleistungen für die Muttergesellschaft innerhalb der USA zur Verfügung. Das heißt ihre bisherige Vertragsgrundlage und Kundenverbindung ist weiterhin ausschließlich mit uns (Hetzner Online GmbH), eine Weitergabe Ihrer persönlichen Daten findet nicht statt.

Folgende Beispiele haben wir zur Veranschaulichung für Sie vorbereitet:

Fallbeispiel 1: Kunde mietet ausschließlich Produkte mit Standort EU (in Deutschland und/oder Finnland) Die Serverstandorte Ashburn (USA) und Hillsboro (USA) bleiben in diesem Beispiel außen vor. Ihre Kundenstammdaten werden innerhalb Deutschlands (EU) gespeichert und verarbeitet.

Fallbeispiel 2: Kunde mietet Produkte innerhalb der EU und in den USA Ihre Kundenstammdaten werden weiterhin ausschließlich innerhalb Deutschlands (EU) gespeichert und verarbeitet. Daran hat sich durch die Standorte in den USA nichts geändert. Um Ihnen auch nach dem Schrems-II Urteil eine DSGVO konforme Nutzung der Server an den Standorten Ashburn und Hillsboro zu ermöglichen, schließt die Hetzner Online GmbH mit Hetzner US LLC die sogenannten Standardvertragsklauseln ab.

Welche Daten auf den Instanzen in den USA abgelegt werden und ob diese ggf. als Absicherung verschlüsselt werden obliegt Ihnen als Kunde. Behördliche Anfragen haben wir regelmäßig. Wir nehmen an, dass es auch dazu aus den USA oder über Rechtshilfeersuchen kommen kann, sollten Sie die Server zu illegitimen Zwecken nutzen. In diesem Fall – und nur in diesem – sind Behörden zur internationalen Zusammenarbeit auf Grundlage von Abkommen verpflichtet. In den verlinkten Standardvertragsklauseln sind dabei die Pflichten der involvierten Parteien geregelt.

Ein Direktzugriff von US Behörden auf Ihre Serverinhalte in der EU ist nicht gegeben. US Behörden haben die Regularien der EU-Gesetzgebung einzuhalten. Das bedeutet konkret:

Für unsere Rechenzentren in Falkenstein und Nürnberg: Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von deutschen Behörden und deutschen Gerichten. Wir akzeptieren keine Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten. Nur deutschen Behörden mit einem gültigen deutschen Gerichtsbeschluss gewähren wir Zugang zu unseren Rechenzentren.

Jedoch können wir, wie andere Hosting-Anbieter auch, nicht garantieren, dass deutsche Behörden die nach deutschem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.

Für unser Rechenzentrum in Helsinki: Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von finnischen Behörden und finnischen Gerichten. Wir akzeptieren keine Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten. Nur finnische Behörden mit einem gültigen finnischen Gerichtsbeschluss gewähren wir Zugang zu unseren Rechenzentren.

Jedoch können wir, wie andere Hosting-Anbieter auch, nicht garantieren, dass finnische Behörden die nach finnischem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.

Schlussfolgerung: Schlussfolgerung: Zusammenfassend lässt sich festhalten, dass Sie als Kunde - bis zu einem gewissen Grad – Einfluss darauf haben haben, wer auf Ihre Serverdaten zugreifen kann. Allerdings besteht selbst bei ausschließlich in Europa gespeicherten Daten keine 100%ige Sicherheit vor Zugriffen durch behördliche Anfragen und/oder Gerichtsbeschlüsse. Wenn Sie sich für ein Unternehmen entscheiden möchten, das keinerlei Verbindung zu den USA hat, müssen wir diesbezüglich leider ab sofort passen. Durch die Hetzner US LLC ist eine gewisse Verbindung durchaus gegeben. Die Auswirkungen dieser Verbindung haben wir in unseren beiden Fallbeispiele versucht aus unserer Sicht darzustellen.

Noch Fragen? Wir beantworten sie Ihnen gerne persönlich

Sollten Sie noch Fragen haben, dann schreiben Sie bitte eine Support-Anfrage über Ihr Kundenkonto an uns. Geben Sie dabei bitte als Thema den Datenschutz an. Unser Support-Team wird Ihre Frage dann an unseren Datenschutzbeauftragten weiterleiten, der Ihnen gerne weiterhilft. Wenn Sie noch kein Kunde sind und Fragen zu diesem Thema haben, schreiben Sie bitte an info@hetzner.com.

Table of Contents